|
| Sun ONE Directory Proxy Server 管理者ガイド |
付録 B Directory Proxy Server の FAQ、機能の説明、トラブルシューティング
この付録には、Sun ONE Directory Proxy Server に関する有用な情報が記載されています。Directory Proxy Server についてのよくある質問 (FAQ) に対する回答、機能の説明、トラブルシューティングに関する情報が含まれています。
この付録で説明する内容は次のとおりです。
Directory Proxy Server の FAQ
Directory Proxy Server とは何ですか ?
Directory Proxy Server は、LDAP クライアントと LDAP サーバーのための LDAP プロキシです。LDAP クライアントからの要求は、Directory Proxy Server の設定情報として定義されている規則に基づいて LDAP サーバーに転送されます。サーバーからの応答も、設定情報に定義されている規則に基づいてクライアントに戻されます。このプロセスは、クライアントには完全に透過的です。クライアントは、通常の LDAP サーバーに接続するように Directory Proxy Server に接続します。
なぜ LDAP プロキシサーバーが必要なのですか ?
多くの企業は、一部の情報を広く公開し、別の一部の情報を非公開情報として社内で保持したいと考えています。Directory Proxy Server を利用することで、社外クライアントにディレクトリパスワードを割り当てることなくこの目標を達成することができます。また、ロードバランス機能とフェイルオーバー機能により、企業ディレクトリサーバーの高可用性ソリューションとして Directory Proxy Server を利用することもできます。
サービス拒否攻撃や検索制限などから保護するための追加セキュリティ機能も提供されます。
Directory Proxy Server はどのバージョンの LDAP プロトコルをサポートしていますか ?
Directory Proxy Server は、LDAPv2 または LDAPv3 プロトコルを使用する LDAP クライアントまたは LDAP サーバー連鎖をサポートしています。
Directory Proxy Server はセキュリティ保護された認証と暗号化をサポートしていますか ?
Directory Proxy Server は、証明書を使用する公開鍵ベースのデータ暗号化のために SSLv3 サービスをサポートしています。LDAP クライアントで利用できるセキュリティ保護された認証と暗号化は、セキュリティ保護された LDAP ポート、または Diffie-Hellman、デジタル署名標準 (DSA)、およびトリプル DES アルゴリズムを使用するインターネット TLS (Transport Layer Security) モデルのいずれかを使用できます。
Directory Proxy Server は、どのような LDAP 対応ディレクトリサーバーでも利用できますか ?
Directory Proxy Server は、どのような LDAP 対応ディレクトリサーバーでも利用できます。ディレクトリ製品の一部のベンダーは、マーケティング資料に LDAP の実装を明記していますが、現実は異なることが多いようです。Directory Proxy Server のほとんどのテストは、Sun ONE Directory Server を使って行われています。
Directory Proxy Server 5.0 コンソールを利用している場合、サポートされる設定レポジトリは、Sun ONE Directory Server 5.0 です。
Directory Proxy Server を設定するための設定ユーティリティは用意されていますか ?
Directory Proxy Server 5.0 には、Directory Proxy Server を設定するための Java ベースの GUI (コンソール) が含まれています。このコンソールは、生成される設定情報の格納に Sun ONE Directory Server を使用します。
Directory Proxy Server の機能
サービス拒否攻撃からの保護に Directory Proxy Server を利用できますか ?
利用できます。1 つの接続で並行して処理できる操作の数、1 つの接続で処理できる操作の数、並行接続の総数、定義されているグループ (ネットワーク、サブネットワーク、またはバインド DN ベース) あたりの最大並行接続数、1 IP アドレスあたりの最大並行接続数を制限することができます。
Directory Proxy Server は「逆」プロキシをサポートしていますか ?
厳密に言えば、Directory Proxy Server は逆プロキシです。ただし、LDAP プロトコルは逆プロキシの概念をサポートしていません。
LDAP ディレクトリの「トローリング」からの保護に Directory Proxy Server を利用できますか ?
利用できます。トローリングは、ディレクトリの大部分をダウンロードするための検索範囲の広いクエリで、多くのサイトが対策を求めています。Directory Proxy Server は、さまざまな方法でトローリングを禁止または制限できます。
- 検索範囲をディレクトリツリーの単一レベルに限定する、サブツリー全体を非表示にする、およびクエリに対する応答として返されるエントリの数をハード制限することができます。
- 不等値検索を禁止することで、除外に基づいて多数の検索結果を得られないようにし、部分文字列検索の長さを制限することができます。たとえば、姓が A 〜 Z で始まるすべてのエントリの検索を禁止できます。
- インデックスが付けられていない検索を拒否するように Directory Proxy Server を設定することもできます。インデックスが付けられていない検索は非効率的で、パフォーマンスに影響を生じる可能性もあります。
Directory Proxy Server はクエリの自動ロードバランスを行いますか?
Directory Proxy Server は、複数のバックエンド LDAP サーバーの間での自動サーバーロードバランスをサポートしています。また、Directory Proxy Server は、主 LDAP サーバーが停止した場合の 2 次 LDAP サーバーへの自動フェイルオーバーもサポートしています。
Directory Proxy Server は、いくつの LDAP サーバーに負荷を分散できますか ?
Directory Proxy Server がロードバランスできるディレクトリサーバーの最適数は、ディレクトリサーバーのパフォーマンス要件、および Directory Proxy Server が実行する処理の複雑さによって異なります。たとえば、Directory Proxy Server が属性名の変更のように複雑な処理を行う場合、Directory Proxy Server に設定するディレクトリサーバーの数は少なくするべきです。Directory Proxy Server の複雑な設定がパフォーマンスに影響する可能性に備えて、Directory Proxy Server の追加を検討してください。
検索要求をフィルタリングすることはできますか ?
できます。特定の属性に対する検索を拒否するように Directory Proxy Server を設定することができます。また、指定されている最小検索ベース、検索範囲、タイムリミットを満たせるように、受け取った検索要求を変更するように Directory Proxy Server を設定することもできます。
検索結果をフィルタリングすることはできますか ?
できます。検索結果は、返される検索結果の数、および結果セットに含まれる属性に基づいてフィルタリングすることができます。また、エントリの DN や内容に基づいて検索結果エントリをフィルタリングすることもできます。
アクセスグループはどのように定義するのですか ?
クライアントには、クライアントのネットワークアドレスに基づいて、ディレクトリに対するさまざまなレベルのアクセス権が割り当てられます。このため、企業ファイアウォールの外のクライアント、ファイアウォール内のクライアント、排他的サブネットワーク上のクライアント、個々のマシンにも異なるレベルのアクセス権を割り当てることができます。さらに、クライアントによる LDAP バインド操作の正常完了、または SSL セッションの確立時に、アクセスレベルを変更することもできます。
Directory Proxy Server は、保護されたパスワード認証をサポートしていますか ?
サポートしています。SASL メカニズムを使用することで、さまざまな保護されたパスワード認証スキームを実装できます。これらのメカニズムは、バックエンドディレクトリサーバー側でサポートされている必要があります。Directory Proxy Server は、接続が保護された SASL メカニズムと SASL EXTERNAL メカニズムをサポートしていません。
Directory Proxy Server は自動的にリフェラルを実行しますか ?
リフェラルの実行は、アクセスグループごとに設定できます。リフェラルの自動的な実行、転送、破棄をさまざまなアクセスグループに設定できます。
Directory Proxy Server は検索結果情報をキャッシュしますか ?
Directory Proxy Server Version 5.0 SP1 は検索結果のキャッシングをサポートしていません。
Directory Proxy Server は属性名を変更できますか ?
Directory Proxy Server は、クライアントとサーバーの間で属性名を透過的に変更できます。
トラブルシューティング
接続試行のログは、どうすれば分析できますか ?
Directory Proxy Server は、syslog を使用するか、指定のログファイルにログを書き込むように設定することができます。スタンフォード大学の FTP (ftp://ftp.stanford.edu/general/security-tools/swatch) では、swatch という UNIX ユーティリティを無償で入手できます。swatch を使用して、Directory Proxy Server から出力されるログファイルを監視し、定義されているイベントが発生した場合に管理者に通知することができます。
リフェラルを実行するように Directory Proxy Server を設定しました。しかし、LDAPv2 クライアントで検索を実行すると、エラー 32 (オブジェクトが存在しない) またはその他のエラーが返されます。
Directory Proxy Server がバックエンドサーバーからリフェラルを受信するには、LDAPv3 を使用する必要があります。各 LDAP サーバープロパティで「LDAP バージョン 3 のみ」が選択されていることを確認してください。
すべてのバックエンドサーバーが稼動しているのに、ログファイルを調べると、一部のアイドルクライアント接続が定期的にフェイルオーバーされているようです。
バックエンドディレクトリサーバーでアイドル接続のタイムアウトが発生し、接続が閉じられています。Directory Proxy Server は、これらの閉じられた接続をフェイルオーバーします。Directory Proxy Server のアイドル接続タイムアウトも設定する必要があります。これにより、アイドルクライアント接続とリークしたクライアント接続を整理することができ、サービス拒否攻撃から接続を保護することもできます。
presence フィルタを含む検索要求を制限する方法はありますか ?
Directory Proxy Server Version 5.0 SP1 には、presence フィルタの使用についてクライアントを制限する直接的なメカニズムは用意されていません。この問題には、次の 2 つの間接的な方法で対応しています。
比較させない属性の名前として、ids-proxy-con-forbidden-compare を設定できます。この方法では、(mail=*) フィルタと (mail=Andy*) フィルタの両方を含む検索が拒否されるため、制限が厳しくなります。
一方、presence フィルタ (attrName=*) は常に同じ結果を返すことから (データが変更されていない場合)、ids-proxy-con-size-limit 属性と ids-proxy-sch-SizeLimitProperty を併用することで、影響を限定的にすることができます。LDAP では、エントリを特定の順序で返す必要はありませんが、ほとんど (すべて) の実装では、結果セットはソートされた順序またはソートされない順序で返され、これは毎回変わりません。このため、Directory Proxy Server にサイズ制限を設定した場合 (size-limit 属性または SizeLimitProperty を使用)、これらの結果セットの最初の「n」エントリだけが毎回返されます。これらの「n」エントリは 2 セット (ソートされている場合とソートされていない場合) しかないため、ディレクトリがトローリングされるリスクは大幅に軽減されます。
Directory Proxy Server は、要求自体にもできるだけこのサイズ制限を適用しようとするため、ディレクトリサーバーはエントリをすべて返すわけではなくなります。
サイズ制限プロパティにより、必要に応じてサイズ制限に例外を適用できます。たとえば、「o=A」というエントリがあり、その下には 400 の組織単位が登録されていると仮定します。それぞれの組織単位の下には人物が登録されています。クライアントにすべての OU を公開し、一度に表示できる人物を 5 人に制限するときは、ベースが「o=A」の検索には制限を適用せずに、検索範囲が 1 レベルになるように SizeLimitProperty を設定できます。その他のすべての検索には、5 エントリの制限が適用されます。
処理を実行しようとしたり、一部のコンソール機能を実行しようとすると、管理サーバーが正常に稼動していること、およびこのホストが管理サーバーに接続する権限を持っていることを確認するように求めるエラーメッセージが表示されます。
エラーメッセージを出力したコンソールの Directory Proxy Server を管理する管理サーバーにログインしてください。管理サーバーのホストマシンで Sun ONE コンソールを起動しなければならない可能性があります。タスクを実行できなかった Directory Proxy Server を管理する管理サーバーのサーバーコンソールを開きます。「設定」タブをクリックし、次に「ネットワーク」タブをクリックします。「接続の制限」の下で、Directory Proxy Server の管理に失敗している Sun ONE コンソールのホストマシンが、管理サーバーへのアクセスを制限されていないことを確認します。詳細については、『Sun ONE Console Server Management Guide』を参照してください。